用于动态 VLAN 的订阅者数据包类型身份验证触发器
默认情况下,VLAN 身份验证由实例化 VLAN 和用户接口的动态配置文件中使用语句指定 accept 的任何数据包类型触发。对于某些业务案例,您可能需要一个包含多个数据包类型的更通用的动态配置文件,但在某些情况下,只对一部分客户对 VLAN 进行身份验证。您可以使用 packet-types 语句指定所需的子集。
数据包类型触发的示例
以下两个用例描述了您可能只想为某些特定订阅者而不是其他订阅者验证 VLAN 的情况。
Conserving resources in a mixed access model—混合访问模型可能会使用动态 VLAN 为 PPPoE 订阅者、IPoE 订阅者、IPv6oE 订阅者或其他订阅者类型提供服务。通常,PPPoE 订阅者是住宅客户,IP 订阅者是商业客户。了解这些订阅者的动态 VLAN 身份验证和配置文件实例化可以帮助您节省系统资源并避免对扩展限制产生一些影响。
默认情况下,根据配置的 VLAN 范围或堆叠 VLAN 范围为接口配置身份验证。因此,无论触发 VLAN 创建的数据包类型如何,都必须对该范围内创建的每个动态 VLAN 进行身份验证。这非常适合 IPoE 和 IPv6oE 订阅者,因为动态 VLAN 身份验证支持配置 RADIUS 源服务,如 CoS 和过滤器。但是,PPPoE 订阅者会通过 PPP 进行验证,因此不需要动态 VLAN 身份验证,而且会浪费系统资源。
通过将动态 VLAN 身份验证限制为仅需要该身份验证的 VLAN,您可以避免这种浪费。您可以通过语句
packet-types指定仅 VLAN 接口上接受的数据包类型的子集可以触发身份验证。例如,在此异构访问模型中,VLAN 动态配置文件可接受 PPPoE、IPoE 和 IPv6oE 数据包。使用该packet-types语句指定只有 IPoE 或 IPv6oE 数据包可以启动 VLAN 身份验证时,PPPoE VLAN 不会提交到 RADIUS 进行身份验证。Overriding dynamic profiles in a mixed access model— 数据包类型触发的另一个用途是覆盖某些订阅者的配置动态配置文件。为此,请创建一个动态配置文件,以满足 PPPoE 订阅者的需求,并为 IPoE 订阅者创建另一个动态配置文件。在此模型中,PPPoE 订阅者占大多数订阅者,因此将 PPPoE 调整的动态配置文件应用于 VLAN 接口。将 IP 配置文件包含在瞻博网络客户端配置文件名称 VSA [26-174]。配置语句
packet-types以指定仅 IP 数据包触发 VLAN 身份验证。收到 IPoE 数据包后,RADIUS 会对 VLAN 进行身份验证。RADIUS 返回客户端配置文件名称 VSA 中包含的覆盖配置文件以及 Access-Accept 消息中的任何其他会话属性。VLAN 自动配置过程通过实例化 IPoE 订阅者的 IP 配置文件来覆盖 PPPoE 配置文件。
用于 VLAN 创建和身份验证的数据包类型
表 1 列出了您可以为 VLAN 身份验证配置的数据包类型,具体取决于为 VLAN 创建配置的数据包类型。
用于 VLAN 创建的数据包类型 |
用于 VLAN 认证的数据包类型 |
|---|---|
|
、 |
|
|
|
|
|
|
|
|
|
|
您不能同时配置dhcp-v4和inet或配置为 VLAN 创建或inet6dhcp-v6身份验证的数据包类型。
在以下任一情况下,对所有 VLAN 执行身份验证:
您未指定用于触发身份验证的数据包类型。
您可以为 VLAN 创建和身份验证配置
any选项。
通常,当配置为触发 VLAN 创建的任何类型的数据包与配置为触发 VLAN 身份验证的其中一个数据包类型匹配时,将执行 VLAN 身份验证。但是,对于已配置数据包的某些组合,需要特定数据包来触发身份验证。 表 2 列出了这些特殊情况。
用于 VLAN 创建的数据包类型 |
用于 VLAN 认证的数据包类型 |
触发身份验证所需的数据包 |
|---|---|---|
|
|
任何 IPv4 数据包 |
|
|
任意 IPv6 数据包 |
|
|
DHCP 发现 |
|
|
DHCPv6 请求 |
|
|
DHCP 发现 |
|
|
DHCPv6 请求 |
|
|
DHCP 发现 |
|
|
DHCPv6 请求 |